V tomto režime vzdialený používateľ pristupuje do internej siete použitím internetového prehliadača (FireFox, Chrome, Internet Explorer, Edge, Safari,…) na klientskom počítači (viď obrázok nižšie). Vzdialený používateľ má dostupné aplikácie:
Zásadnou podmienkou je, že počítač vzdialeného používateľa musí tento spôsob komunikácie podporovať. Vzdialený používateľ si zo stránky portálu stiahne Java applet. Tento applet funguje na klientovi ako TCP proxy server pre služby, ktoré sú nakonfigurované na stránke portálu. Tento typ umožňuje vzdialený prístup ku štandardným aplikáciám založených na TCP ako sú POP3 (Post Office Protocol 3), SMTP (Simple Mail Transfer Protocol), IMAP (Internet Message Access Protocol) alebo Telnet, ako aj prístup do podnikových informačných systémov typu SAP (System Application Products). Klientske aplikácie musia byť nakonfigurované tak, aby komunikovali cez TCP spojenie na známy server a port. Ako adresa servera obvykle slúži loopback (127.0.0.1), kde je komunikácia zachytávaná TCP proxy serverom a ďalej smerovaná do SSL tunela.
V tomto režime má vzdialený používateľ najväčšie možnosti. Používateľ si po prihlásení na VPN server stiahne (ručne alebo automaticky) plnohodnotného SSL VPN klienta. V prípade technológie Cisco ide o „Cisco AnyConnect VPN klient“. Tento program vytvorí virtuálne sieťové rozhranie, ktoré poskytuje prístup k sieťovej vrstve rôznym aplikáciám. Tento typ SSL VPN poskytuje možnosti porovnateľné s VPN založenej na technológii IPsec (v režime vzdialeného prístupu - Remote Access). Po ukončení spojenia sa Cisco AnyConnect VPN klient odstráni z klientskej stanice alebo môže zostať na stanici nainštalovaný.
Klasické SSL VPN nie je možné použiť na vytváranie Site-to-Site VPN, používajú sa väčšinou ako Remote-Access VPN. Výnimkou z tohto pravidla je projekt OpenVPN, ktorý umožňuje vytvárať Site-to-Site VPN zabezpečené pomocou SSL/TLS.